Mensch als Einfallstor für Cyber-Angriffe

Unternehmen aus Deutschland und Österreich werden zurzeit gezielt mit gefälschten Mails angegriffen – die Unsicherheiten rund um Covid-19 werden ausgenutzt. Doch das ist nichts Neues. Der Faktor Mensch zählt als das Einfallstor für Cyber-Kriminelle, was allerdings oft unterschätzt wird. Warum ist das so und wie können Unternehmen dem gezielt entgegenwirken.

So nutzen aktuell Cyber-Kriminelle die Covid-19-Lage aus

Bereits seit Beginn der Pandemie wird die Verwendung von Themen, Covid-19 betreffend, in breit angelegten Social-Engineering-Angriffen beobachtet, welche zu Malware Credential-Phishing und Business-E-Mail Compromise (BEC) führen. Hierbei wurde zunächst mit der Existenz des Virus gelockt – nun wird die aktuell schwierige und umstrittene Lage des Covid-19-Impfstoffs und die Engpässe der medizinischen Versorgung ausgenutzt.

Für diese Angriffe wurden Marken wie WHO, DHL aber auch Impfstoffhersteller missbraucht. So erhielten bei einer Kampagne vom 14. Januar 2021 dutzende Firmen verschiedener Branchen in den USA, Deutschland und Österreich E-Mails, bei denen sie ihre korrekte Adresse angeben mussten. Außerdem wurde eine Reihe an BEC-Kampagnen beobachtet, bei denen sich die Angreifer als Führungskräfte ausgaben und bei einer gefälschten Fusion Unterstützung brauchten.

Eine Sache haben alle Angriffe gemein: Sie zielen auf die Mitarbeiter, das größte Einfallstor für Malware.

Social Engineering wird als Angriffsvektor oft unterschätzt

Beim Social Engineering werden menschliche Eigenschaften wie beispielsweise Vertrauen, Angst oder Respekt vor Autoritäten ausgenutzt. Die Social Engineers versuchen Menschen für ihre Zwecke zu instrumentalisieren. Angreifer verleiten die Opfer dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln oder Schadsoftware zu installieren. (Social Engineering)

Diese Herangehensweise nehmen Hacker immer mehr ins Visier, denn Schwachstellen werden zunehmend beim Benutzer und nicht mehr in der Software gesucht. Seit 2016 spielen Angriffe, die auf menschliches Verhalten abzielen, eine zentrale Rolle. Opfer werden zielgenau angeschrieben und durch angebliche Kollegen, Vorgesetzte oder Partner dazu verleitet, vertrauliche Informationen weiterzugeben. Aufgrund der vermeintlich realen Kontakte sinkt die Skepsis schnell. Auch detailliertere Angaben in der Phishing-Mail, wie die vollständige Signatur, lässt die Klickzahlen erhöhen.

Doch nicht nur E-Mails stellen eine Gefahr dar. Bei den Mitarbeitern steigt die Neugierde, wenn auf dem Firmenparkplatz ein vermeintlich herrenloser USB-Stick liegt. Die wenigsten der Finder werden ihn am Empfang oder in der IT-Abteilung abgeben. Steckt man den USB-Stick in den PC/ Laptop, wird darauf Schadsoftware installiert, welche sich durch das gesamte Firmennetzwerk frisst.

Anhand der eben beschriebenen Szenarien wird deutlich, dass es viele Situationen gibt, in denen der Faktor Mensch die größte Sicherheitslücke im Unternehmen darstellt.

Wie kann man sich vor dieser Gefahr schützen?

Die besten und neuesten technischen Maßnahmen und Security-Strategien bringen nichts, wenn Anwender auf potenzielle Angriffe nicht sensibilisiert sind (User Awareness). Dies ist allerdings nicht mit einer einmaligen Frontalschulung getan. Für den Aufbau einer Sicherheitskultur sind fortlaufende Schulungen der Mitarbeiter zwingend erforderlich – analog zu Patches und Updates bei technischen Systemen. Mitarbeiter müssen sensibilisiert werden, wie sie mit Spam und verdächtigen Mails umgehen müssen und welchen Bedrohungen sie zusätzlich dazu ausgesetzt sein könnten. Sind die Mitarbeiter geschult und können den Angriff direkt identifizieren, ist es wahrscheinlicher, dass sie sich auch wie gewünscht verhalten.